Winpcap分析 -- NPF_CreateDevice

最新推荐文章于 2023-10-22 21:46:24 发布
最新推荐文章于 2023-10-22 21:46:24 发布
阅读量902 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: WinpCap分析 文章标签: null extension string file 文档 api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huang_shao_bin/article/details/5296082
本文深入解析了NPF_CreateDevice函数,包括设备创建过程、符号链接生成逻辑及其涉及的关键API,详细介绍了函数内部如何进行设备名称验证、初始化与创建。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

NPF_CreateDevice:这个函数主要是创建设备,并为设备创建符号链接,这其中涉及到的标准API请参考wdk文档

  • 首先会对传递进来的设备名字做合法性判断:()

    if (RtlCompareMemory(amacNameP->Buffer, devicePrefix.Buffer,
        devicePrefix.Length) < devicePrefix.Length)
    {
        return FALSE;
    }

    NDIS_STRING devicePrefix = NDIS_STRING_CONST(//Device// )

  • 然后会对设备名字和符号链接名字做一系列的初始化,如分配空间,组合字符串等

    deviceName.Length = 0;
    deviceName.MaximumLength = (USHORT)(amacNameP->Length + g_NPF_Prefix.Length + sizeof(UNICODE_NULL));
    deviceName.Buffer = ExAllocatePoolWithTag(PagedPool, deviceName.MaximumLength, '3PWA');

    if (deviceName.Buffer == NULL)
        return FALSE;

    deviceSymLink.Length = 0;
    deviceSymLink.MaximumLength =(USHORT)(amacNameP->Length-devicePrefix.Length
        + symbolicLinkPrefix.Length
        + g_NPF_Prefix.Length
        + sizeof(UNICODE_NULL));

    deviceSymLink.Buffer = ExAllocatePoolWithTag(NonPagedPool, deviceSymLink.MaximumLength, '3PWA');

    if (deviceSymLink.Buffer  == NULL)
    {
        ExFreePool(deviceName.Buffer);
        return FALSE;
    }

    RtlAppendUnicodeStringToString(&deviceName, &devicePrefix);
    RtlAppendUnicodeStringToString(&deviceName, &g_NPF_Prefix);
    RtlAppendUnicodeToString(&deviceName, amacNameP->Buffer +
        devicePrefix.Length / sizeof(WCHAR));

    RtlAppendUnicodeStringToString(&deviceSymLink, &symbolicLinkPrefix);
    RtlAppendUnicodeStringToString(&deviceSymLink, &g_NPF_Prefix);
    RtlAppendUnicodeToString(&deviceSymLink, amacNameP->Buffer +
        devicePrefix.Length / sizeof(WCHAR));

  • 最后就是创建设备和符号链接

    status = IoCreateDevice(adriverObjectP,
            sizeof(DEVICE_EXTENSION),
            &deviceName,
            FILE_DEVICE_TRANSPORT,
    #ifdef __NPF_NT4__
            0,
    #else //__NPF_NT4__
            FILE_DEVICE_SECURE_OPEN,   
    #endif //__NPF_NT4__
            FALSE,
            &devObjP);

    IoCreateSymbolicLink(&deviceSymLink,&deviceName)

Ndisprot协议驱动和winpcapnpf协议驱动对比分析(1)
smilestone322的专栏
03-14 2014
Ndisprot协议驱动和winpcapnpf协议驱动对比分析
wireshark抓包报错The capture session could not be initiated on interface ‘\Device\NPF_Loopback‘
热门推荐
weixin_45525324的博客
03-31 1万+
wireshark抓包报错 The capture session could not be initiated on interface ‘\Device\NPF_Loopback’ (Error opening adapter: The system cannot find the path specified. (3)). 解决方法 以管理员身份运行cmd,输入net start npca...
NPF 函数
qinqijing198601的专栏
04-23 1084
NPF 函数 [WinPcap核心资料]   函数 NTSTATUS  DriverEntry (IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)   The initialization routine of the driver. PWC
NPF
weixin_30236595的博客
05-07 1785
NPF是一个协议驱动。从性能方面来看,这不是最好的选择,但是它合理地独立于MAC层并且有权使用原始通信 (raw traffic)。NPFWinpcap的核心部分,它是Winpcap完成困难工作的组件。它处理网络上传输的数据包,并且对用户级提供可捕获 (capture)、发送(injection)和分析性能(analysis capabilities)。 NIC驱动或中间层NDIS驱...
深度剖析WinPcap之(四)——WinPcap的体系架构(2)
理性的幻想
06-22 1378
本文转自http://eslxf.blog.51cto.com/918801/197410     1.3 WinPcap驱动内部说明 WinPcap的结构如图2-4所示,NPFWinPcap的组件,用来处理网络上传输的数据包,并对用户层导出数据包捕获、发送与分析的能力。下面将描述NPF与操作系统与其基础结构体的交互。 图2-4 NPF的结构 1.3.1 NPF与NDIS 网
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
此资料包“WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源”提供了这些技术的源代码,为开发者深入理解其工作原理和应用提供了宝贵的资源。 首先,让我们详细了解这三个核心概念: 1. **...
Winpcap-demo.rar_wincap demo_winpcap demo_winpcap firewa_winpcap
09-24
一个简单的Winpcap抓包示例程序,能显示多网卡信息,能分别数据链路层和网络层的报文信息
WinPcap-document.rar_winpcap
09-20
这个压缩包“WinPcap-document.rar_winpcap”包含了一份详尽的WinPcap中文技术文档,对于想要深入理解和应用WinPcap的开发者来说,是一份非常宝贵的资料。 一、WinPcap概述 WinPcap由意大利Politecnico di Milano...
WinPcap-study.rar_tdma_winpcap
09-24
WinPcap是一款强大的网络数据包捕获和网络分析工具,它是Windows平台上的一个开源库,为网络编程提供了一种高效、低级别的接口。WinPcap不仅允许开发者捕获网络数据包,还能过滤、存储和回放数据,是网络监控、安全...
WinPcap-using.zip_wincap_winpcap 发包
07-13
介绍利用wincap基础库进行网络抓包发包的编程
masscan.exe
11-28
masscan.exe已经编译好的压缩包,打开就能用。压缩包里有usage.txt使用方式。有需要的同学可以下载使用。
WinPcap教程(1):获取网卡列表
玄机逸士的专栏
06-22 7659
本部分将向你展示如果使用WinPcap API的特性。它是以教程的方式来组织的,并细分为一系列的课程,以step-by-step的方式,向读者介绍如何利用WinPcap编程,从基本的功能(获取网卡列表,抓包等等)到最高级的功能(处理发送队列和收集网络流量统计数据)。 代码片段以及一些简单但是完整的程序可供参考:所有源码都有指向使用手册的链接,即只要在函数或者数据结构上点击,就会跳到对应的文
(原创)WinpCap的详解(二)
weixin_30629977的博客
11-27 232
  接着上一篇博客,这里接着谈论WinpCap的详解(二)。 1、不用回调函数捕获数据   pcap_loop()函数是基于回调的原理来进行数据捕获,这是一种精妙的方法,并且在某些场合中,它是一种很好的选择。 然而,处理回调有时候并不实用 -- 它会增加程序的复杂度,特别是在拥有多线程的C++程序中。   可以通过直接调用pcap_next_ex() 函数来获得一个数据包 -- 只有当编程...
Packet32 打开网卡设备/写帧/读帧【帧:以太网格式】
liulilittle的博客
04-28 673
网卡设备ID格式为: \Device\NPF_{网卡名称},网卡名称可以通过 WINAPI “GetAdaptersInfo” 函数来获取,当然人们仍旧可以使用 Packet32 提供的 “PacketGetAdapterNames” 函数来获取,每个网卡之间使用 “/x0” 来做分隔符,结束标志位为某端两个“\x0”,用法简单就不再本文过多描述了。 PacketOpenAdapter 打开网卡设备 inline static LPADAPTER ethernet_open_device(c
使用wireshark抓包分析-抓包实用技巧
weixin_30609331的博客
06-29 724
目录 使用wireshark抓包分析-抓包实用技巧 前言 自定义捕获条件 输入配置 输出配置 命令行抓包 抓取多个接口 抓包分析 批量分析 合并包 ...
PCAPNG文件格式详解——这一篇就够了!
最新发布
m0_53887937的博客
10-22 1万+
现今流行数据包格式pcapng详细介绍。
Windows驱动内存操作
PwnGuo的博客
05-25 2782
内存复制 内存复制分两种情况,非重叠和可重叠 如图:当复制A~C到B~D段内存b-c段内存重叠 RtlCopyMemory为非重叠复制,即不能使用RtlCopyMemory操作上图中的内存段,RtlMoveMemory为可重叠复制,此函数对内存是否重叠进行判断。 void RtlCopyMemory( Destination, //表示要复制内存的目的地址 Sourc...
Wireshark 命令行捕获数据
Epsilon
03-01 1万+
在 Wireshark 程序目录中,包含两个命令行捕获工具。这两个工具分别是 Dumpcap 和 Tshark。当不能以图形界面方式捕获数据时,可以在命令行使用 dumpcap 或 tshark 程序实施捕获。 一、使用 Dumpcap 捕获数据 执行 dumpcap -h 可以查看参数详情。 1、执行 dumpcap -D 查看本机可用的接口。 D:\Program Files (x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值